Error de autenticación temporal 454 4.7.0 en Exchange Server

  • Artículo
  • Se aplica a:
    Exchange Server 2019, Exchange Server 2016 Standard Edition, Exchange Server 2016 Enterprise Edition, Exchange Server 2013 Standard Edition, Exchange Server 2013 Enterprise, Exchange Server 2010 Standard, Exchange Server 2010 Enterprise

Número de KB original: 979174

Síntomas

En un entorno de servidor de Exchange, algunos mensajes de correo electrónico se bloquean en una cola de entrega remota que se debería haber transferido a otro servidor exchange interno de la organización de Exchange.

Si abre la herramienta Visor de colas desde el nodo Cuadro de herramientas en el Consola de administración de Exchange, el campo Último error muestra un mensaje de error similar al siguiente:

La dirección IP de destino principal 451 4.4.0 respondió con: "Error de autenticación temporal 454 4.7.0". Intentó conmutar por error a un host alternativo, pero eso no se realizó correctamente. No hay hosts alternativos o no se pudo entregar a todos los hosts alternativos.

Además, puede encontrar el siguiente mensaje de error en el archivo de registro de aplicaciones en el servidor exchange que recibe el mensaje de correo electrónico:

Tipo de evento: Origen de evento de error: MSExchangeTransport Categoría de eventos: SmtpReceive Id. de evento: 1035 Descripción: Error de autenticación entrante IllegalMessage para el servidor> predeterminado <del conector de recepción. El mecanismo de autenticación es ExchangeAuth. La dirección IP de origen del cliente que intentó autenticarse en Microsoft Exchange es [SourceIPAddress].

Causa

Este problema se produce si el servidor exchange no puede autenticarse con el servidor remoto de Exchange. Los servidores de Exchange requieren autenticación para enrutar mensajes de usuario internos entre servidores. El problema puede deberse a una de las siguientes razones:

  • El servidor exchange está experimentando problemas de sincronización de hora.
  • Hay un problema de replicación entre los controladores de dominio.
  • El servidor exchange está experimentando problemas de nombre de entidad de seguridad de servicio (SPN).
  • El firewall bloquea los puertos TCP/UDP necesarios para el protocolo Kerberos.

Solución

Para resolver este problema, siga estos pasos:

  1. Compruebe el reloj en los servidores y controladores de dominio que se pueden usar para autenticar los servidores. Todos los relojes deben sincronizarse con dentro de los 5 minutos de uno al otro.

  2. Forzar la replicación entre controladores de dominio para ver si hay un problema de replicación.

  3. Compruebe que el nombre de entidad de seguridad de servicio (SPN) de SMTPSVC está registrado correctamente en el servidor de destino.

    • Asegúrese de que las SMTP entradas y SMTPSVC se agregan correctamente a la cuenta de equipo mediante la herramienta SetSPN. Por ejemplo:

      SetSPN -L <ExchangeServerName>
      SMTP/ <ExchangeServerName>
      SMTP/ <ExchangeServerName.example.com>
      SMTPSVC/ <ExchangeServerName>
      SMTPSVC/ <ExchangeServerName.example.com>

    • Compruebe si hay SPN duplicados mediante la herramienta SetSPN. Solo debe haber una entrada de cada una de ellas:

      SetSPN -x
      Entrada de procesamiento 0
      encontró 0 grupo de SPN duplicados.

  4. Compruebe que los puertos necesarios para Kerberos están habilitados.

  5. Si los pasos anteriores no funcionan, puede activar el registro para Kerberos en el servidor que registra el mensaje de evento 1035, que puede proporcionar información adicional. Para ello, siga estos pasos:

    1. Seleccione Inicio, ejecutar, escriba Regedity, a continuación, seleccione Aceptar.
    2. Busque la clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
    3. En el menú Editar , seleccione Nuevo y, a continuación, seleccione Valor DWORD.
    4. En el panel de detalles, escriba el nuevo valor LogLevel y presione Entrar.
    5. Haga clic con el botón derecho en LogLevel y, a continuación, seleccione Modificar.
    6. En el cuadro de diálogo Editar valor DWORD , en Base, seleccione Decimal.
    7. En el cuadro Datos de valor , escriba el valor 1 y, a continuación, seleccione Aceptar.
    8. Cierre el Editor del Registro.
    9. Vuelva a comprobar el registro de eventos del sistema para ver si hay errores de Kerberos.

  6. En el Exchange Server de destino, compruebe los conectores de recepción que reciben mensajes de correo electrónico internos y asegúrese de que tienen habilitada la autenticación de Exchange.